Ordnen Sie MITRE-ATT&CK Informationen erkennbaren Elementen zu

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Ordnen Sie MITRE-ATT&CK Taktiken und Techniken einem erkennbaren Element zu, um die Analyse von Security Incidents und Bedrohungen auf granularer Ebene zu verbessern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Einige SIEMs stellen möglicherweise MITRE-ATT&CK Informationen mit Events, Warnungen oder erkennbaren Elementen bereit. Um die MITRE-ATT&CK -Informationen auf einer granularen Ebene zuzuordnen, können Sie die Informationen mit einem erkennbaren Element hinzufügen.

    Sie können für MITRE-ATT&CK Informationen automatisch von den erkennbaren Elementen zu einem Security Incident zusammenfassen. Aktivieren Sie für ein automatisches Rollup von erkennbaren Elementen zu Security Incidents die Systemeigenschaft. Alternativ können Sie die Informationen für jedes erkennbare Element manuell zusammenfassen.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, den Sie mit den MITRE-ATT&CK -Informationen anreichern möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die Registerkarte Zugeordnete erkennbare Elemente anzeigen.
    4. Zeigen Sie auf das erkennbare Element, das Sie zuordnen möchten, klicken Sie mit der rechten Maustaste, und wählen Sie MITRE ATT&CK-Technik zuordnenaus.

      In der folgenden Abbildung sehen Sie, wie Sie von der zugehörigen Liste zu MITRE ATT&CK-Technik zuordnennavigieren, die Quelle überprüfen und eine Taktik und Technik hinzufügen.

      Ordnen Sie MITRE ATT&CK-Informationen einem erkennbaren Element zu.
    5. Überprüfen Sie in den Quelllisten die Quelle.
      Hinweis:
      Nur die Sammlungen und Matrizen, die aktiviert wurden, werden in der Quellliste angezeigt.
    6. Überprüfen Sie die Taktik und die Techniken, und fügen Sie sie basierend auf der Relevanz für das erkennbare Element hinzu oder entfernen Sie sie.
    7. Klicken Sie auf Speichern.
      Die von Ihnen hinzugefügten Taktiken und Techniken werden in der Spalte MITRE-ATT&CK „ Informationen“ in der zugehörigen Liste der erkennbaren Elemente angezeigt.
    8. Wählen Sie das erkennbare Element aus, und klicken Sie dann im Menü „Aktionen“ auf MITRE ATT&CK-Informationen für SI zusammenfassen.
      Wenn Sie aktiviert haben Automatisches Rollup von MITRE-ATT&CK Informationen von erkennbaren Elementen bis hin zu Security Incidents, dann wird für die Informationen automatisch ein Rollup durchgeführt. Wenn Sie das automatische Rollup nicht aktiviert haben, müssen Sie dies manuell tun.

      Die folgende Abbildung zeigt, wie Sie ein erkennbares Element auswählen und für die Informationen MITRE-ATT&CK einen Rollup zu einem Security Incident durchführen.

      Führen Sie einen manuellen Rollup für MITRE ATT&CK-Informationen vom erkennbaren Element bis zum Security Incident durch.
    9. Um eine zusammengefasste Ansicht der Techniken anzuzeigen, die den erkennbaren Elementen zugeordnet sind, wählen Sie zwei oder mehr erkennbare Elemente aus der Liste aus und klicken dann im Menü Aktionen in der Liste der ausgewählten Zeilen auf MITRE ATT&CK-Informationen anzeigen.

    Ergebnisse

    Eine zusammengefasste Ansicht der MITRE ATT&CK-Informationen für die ausgewählten erkennbaren Elemente wird angezeigt.